ストライカー社のインシデントから見えてくるHandalaの攻撃手法
ブログを読む

ストライカー社のインシデントから見えてくるHandalaの攻撃手法。ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
ランサムウェア・グループ

FunkSec

  1. ステータス:
  1. ステータス:

FunkSecは、サイバー犯罪とハクティビズムを融合させた、AIを活用したランサムウェア集団の新たな潮流を象徴しています。技術的な洗練度は疑問視されるものの、その戦術と知名度の高さから、注目すべき脅威となっています。セキュリティチームは、AIを活用したマルウェアの動向を監視し、自動化や欺瞞戦術を駆使したランサムウェア攻撃に備える必要があります。

FunkSecのTTPを検知する
FunkSecの攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくある質問 (FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

FunkSecの経歴

FunkSecは2024年後半に出現したランサムウェア集団であり、公表されている被害者数の多さから急速に悪名を高めています。他の既存のランサムウェア集団とは異なり、FunkSecは比較的新しく独立した活動であるように思われ、以前のランサムウェアファミリーとの関連は確認されていません。この集団は二重の脅迫戦術を用いており、データ暗号化とデータ窃取を組み合わせ、被害者に身代金を支払わせようとしています。

FunkSec の重要な特徴は、AI を活用したマルウェア開発であり、経験の浅い攻撃者でも悪意のあるツールを迅速に作成・改良することが可能です。このグループはハクティビズムとサイバー犯罪の交差点で活動しているように見えるため、真の動機を特定することは困難です。漏洩したデータセットの一部は過去のハクティビスト活動から再利用されていることが判明し、開示内容の信憑性に疑問が生じています。

FunkSecは高度なランサムウェア・アズ・ア・サービス(RaaS)を運営しているように見えますが、セキュリティ研究者は、このグループの技術的専門知識が限られていることを示す複数の兆候を特定しています。彼らの活動のほとんどは、金銭的利益よりも悪評を得ることを目的としているように思われ、これは身代金要求額が低いことや、サイバー犯罪フォーラムにおける積極的な宣伝活動からも明らかです。

出典: チェック・ポイント

対象国

FunkSecの被害者の大半はインドと米国で、欧州や中東の組織も標的とされています。「パレスチナ解放」運動との連携は、地政学的な動機によるものと考えられますが、これは政治的意図というよりも、むしろブランド戦略によるものかもしれません。

出典:ransomware.live

対象業界

FunkSecは特定の業界に狙いを定めているわけではないようですが、政府機関、医療、金融サービス、テクノロジー企業を攻撃対象としています。同グループのランサムウェア・アズ・ア・サービス(RaaS)モデルは、複数の組織がツールを利用できるため、潜在的な被害者の範囲が拡大しています。標的とされる業界の中には、ハクティビストの動機と一致するものもあり、特に政府機関やインフラ関連企業などが挙げられます。

画像ソース PCrisk

Federal

Healthcare

Financial Services and Banking

注目すべき犠牲者

推定138の組織がFunkSec攻撃の被害にあっています。

出典:ransomware.live
攻撃方法

FunkSecの攻撃方法

初期アクセス
権限昇格
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

FunkSecは、フィッシングメール、クレデンシャルスタッフィング、そして無防備なシステムにおける未修正の脆弱性の悪用を通じてアクセスを獲得します。また、ダークウェブフォーラムで見つかった盗難された認証情報も利用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

このグループは、資格情報の盗難技術、トークンの操作、および Windows 環境における誤った構成の悪用を使用して、権限の昇格を試みます。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

FunkSecは、検知を回避するためにWindows Defender、イベントログ、PowerShellのセキュリティ機能を無効化しています。このランサムウェアはRustでコンパイルされているため、分析と検知が困難になる可能性があります。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

攻撃者は、侵害されたシステムやウェブサイトから認証情報を収集するキーロガーや、funkgenerate などのパスワードスクレイピングツールを展開します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

FunkSec は感染したネットワークをスキャンして貴重なファイルを見つけ、暗号化する最も重要な資産を決定します。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。

攻撃者は、HVNC (隠し仮想ネットワーク コンピューティング) ツールとリモート デスクトップ エクスプロイトを使用して、侵害されたネットワーク間を移動します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

このグループは、被害者のデータを暗号化する前に、カスタム Python スクリプトと Rclone などの標準ツールを使用して機密ファイルを盗み出します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

Rust ベースのランサムウェアは、ChaCha20 暗号化を使用してファイルを暗号化し、「.funksec」拡張子を追加して、身代金要求メッセージを表示します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

盗まれたデータはFunkSecのダークウェブリークサイトにアップロードされ、そこで公開されるか、第三者に販売されます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

ランサムウェアはシャドウコピーを削除し、プロセスを終了して操作を妨害し、システム設定を変更します (例: デスクトップの背景を黒くする)。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

FunkSecは、フィッシングメール、クレデンシャルスタッフィング、そして無防備なシステムにおける未修正の脆弱性の悪用を通じてアクセスを獲得します。また、ダークウェブフォーラムで見つかった盗難された認証情報も利用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
権限昇格

このグループは、資格情報の盗難技術、トークンの操作、および Windows 環境における誤った構成の悪用を使用して、権限の昇格を試みます。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

FunkSecは、検知を回避するためにWindows Defender、イベントログ、PowerShellのセキュリティ機能を無効化しています。このランサムウェアはRustでコンパイルされているため、分析と検知が困難になる可能性があります。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

攻撃者は、侵害されたシステムやウェブサイトから認証情報を収集するキーロガーや、funkgenerate などのパスワードスクレイピングツールを展開します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

FunkSec は感染したネットワークをスキャンして貴重なファイルを見つけ、暗号化する最も重要な資産を決定します。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
ラテラルムーブ

攻撃者は、HVNC (隠し仮想ネットワーク コンピューティング) ツールとリモート デスクトップ エクスプロイトを使用して、侵害されたネットワーク間を移動します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

このグループは、被害者のデータを暗号化する前に、カスタム Python スクリプトと Rclone などの標準ツールを使用して機密ファイルを盗み出します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

Rust ベースのランサムウェアは、ChaCha20 暗号化を使用してファイルを暗号化し、「.funksec」拡張子を追加して、身代金要求メッセージを表示します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

盗まれたデータはFunkSecのダークウェブリークサイトにアップロードされ、そこで公開されるか、第三者に販売されます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

ランサムウェアはシャドウコピーを削除し、プロセスを終了して操作を妨害し、システム設定を変更します (例: デスクトップの背景を黒くする)。

MITRE ATT&CK マッピング

FunkSecのTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1204
User Execution
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1070
Indicator Removal
T1562
Impair Defenses
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
プラットフォーム検知

FunkSecをVectra AIで検知する方法

Ransomware File Activity

Suspicious Port Scan

Suspicious Remote Desktop Protocol

もっと見る
攻撃の危険性を評価する

FunkSecの攻撃に対して安全ですか?

攻撃の危険性を評価する

よくある質問 (FAQ)